0
0
Depois de negar que o IBM Data Risk Manager (IDRM), um produto de segurança corporativa, possuía quatro vulnerabilidades do tipo Zero-Day (falhas graves descobertas por terceiros sem ciência da desenvolvedora do software), a IBM voltou atrás e confirmou ao menos três dos problemas. A gigante da tecnologia, por meio de comunicado, prometeu que vai consertá-los irá informar a todos quando isso ocorrer.
Tudo começou quando o pesquisador Pedro Ribeiro, fundador e diretor de pesquisas da empresa de cibersegurança Agile, publicou em sua conta no GitHub a descoberta de quatro brechas zero-day no IBM Data Risk Manager, que nada mais é do que um centro de controle de riscos de dados que ajuda a descobrir, analisar e visualizar riscos de negócios relacionados a dados.
Em um primeiro momento, a IBM desdenhou dos problemas e alegou que o relatório feito por Ribeiro estava fora do escopo do programa de divulgação de vulnerabilidades da empresa, pois o IDRM era apenas para suporte aprimorado dos clientes. Isso aconteceu mesmo após o pesquisador ter entrado em contato com o CERT (Equipe de Resposta Emergencial à Comunidade, na tradução literal), órgão que responde a emergências com computadores e softwares nos EUA, para fazer avisar a IBM sobre esse perigo.
As falhas descobertas por Pedro Ribeiro foram:
- Desvio de autenticação do IDRM,
- Ponto de injeção de comando em uma das APIs do IDRM que permite que os ataques executem comandos no app
- Combinação de nome de usuário e senha codificados
- Download arbitrário de arquivos por meio do dispositivo IDRM
Três dos quatro erros podem ser encadeados para serem executados via código remoto sem autenticação usando direitos de superusuário root.
A IBM avisou que está trabalhando em um patch para solucionar esses casos.
Fonte: CanalTech